Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

AtomBombing :Cette technique d'injection de code peut potentiellement attaquer toutes les versions de Windows

28 Octobre 2016 , Rédigé par nicko Publié dans #informatique

Si vous possédez un PC avec Windows, qui est entièrement patché, les attaquants peuvent encore pirater votre ordinateur.
 

 AtomBombing :Cette technique d'injection de code peut potentiellement attaquer toutes les versions de Windows

Des chercheurs en sécurité ont découvert une nouvelle technique qui pourrait permettre à des attaquants d'injecter du code malveillant sur chaque version du système d'exploitation Windows de Microsoft "Windows 10 inclus" et cela en utilisant une technique qu'aucun outil anti-malware existant ne peut détecter, donc, de ce fait cette technique menace des millions de PC dans le monde.

Surnommé "AtomBombing," la technique n'exploite pas de vulnérabilité , mais abuse d'une faiblesse de conception dans Windows.

 

La nouvelle attaque d'injection de code contourne les mesures de sécurité de logiciel malveillant

 AtomBombing :Cette technique d'injection de code peut potentiellement attaquer toutes les versions de Windows

L'attaque d'AtomBombing abuse des tables Atom au niveau système, une caractéristique de Windows qui permet à des applications de stocker l'information sur les chaînes, des objets et d'autres types de données pour y accéder de façon régulière.

Et puisque Atom est des tables partagées, toutes sortes d'applications peuvent accéder ou modifier les données à l'intérieur de ces tables. Vous pouvez lire une explication plus détaillée des tableaux Atom sur le blog de Microsoft .

 Une équipe de chercheurs de l'entreprise de cyber sécurité EnSilo, qui présente la technique d'AtomBombing, disent que ce défaut de conception dans Windows peut permettre au code malveillant de modifier des tables d'Atom et de duper les applications légitimes dans l'exécution d'actions malveillantes en son nom.

Une fois le malware injecté dans les processus légitimes, il est plus facile pour les attaquants de contourner les mécanismes de sécurité qui protègent les systèmes contre les infections de logiciels malveillants, ont dit les chercheurs.

 

AtomBombing peut effectuer une attaque MITM du navigateur, Déchiffrer les mots de passe, et plus encore

 

En plus du contournement de restrictions au niveau du processus, la technique d'injection de code d'AtomBombing permet aussi aux attaquants d'exécuter des attaques de navigateur MITM "l'homme au milieu", prendre à distance les copies d'écran de bureaux d'utilisateurs ciblés et avoir accès aux mots de passe cryptés stockés sur un navigateur.

Google Chrome crypte vos mots de passe enregistrés en utilisant l'API de protection des données de Windows (DPAPI), qui utilise des données provenant de l'utilisateur en cours pour chiffrer ou déchiffrer les données et accéder aux mots de passe.

Donc, si les logiciels malveillants sont injectés dans un processus qui est déjà en cours d'exécution dans le contexte d'un utilisateur connecter au même moment, il est facile d'accéder aux mots de passe en texte clair.

De plus, en injectant du code dans un navigateur Web, les attaquants peuvent modifier le contenu affiché à l'utilisateur.

 

    "Par exemple, dans un processus de transaction bancaire, les informations 
de paiement exactes du client sont affichées via les écrans de confirmation", 
a déclaré Tal Liberman, Security Research Team Leader de enSilo.

 

    "Cependant, l'attaquant modifie les données de telle sorte que la banque 
reçoit des informations de transaction erronées en çà faveur, c'est-à-dire, 
un autre numéro de compte de destination et éventuellement augmenter la somme".


Pas de Patch pour l"attaque AtomBombing

 

 Ce qui est pire? La société a déclaré toutes les versions du système d'exploitation Windows, y compris le plus récent de Microsoft Windows 10, sont touchés. Et ce qui est encore pire? Il n'y a pas de solution pour le moment.

"Malheureusement, ce problème ne peut pas être corrigé car il ne repose pas 
sur du code cassé ou défectueux - plutôt sur la façon dont ces mécanismes 
du système d'exploitation sont conçus", a déclaré Liberman.

Comme la technique d'AtomBombing exploite les fonctions légitimes du système d'exploitation pour mener à bien l'attaque, Microsoft ne peut pas corriger le problème sans changer la façon dont le système d'exploitation complet fonctionne. Ce n'est pas une solution réalisable, donc il n'y a pas de patch.

 

Source: TheHackerNews

 

En savoir plus sur l'AtomBombing

 

Partager cet article

Repost 0

Commenter cet article